URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8668
[ Назад ]

Исходное сообщение
"ACL не пускает расшифрованный трафик"
Отправлено papa_doc , 08-Сен-05 17:57

две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1))
поднят IPSec, туннельный режим
на входящем интерфейсе у 2621 прописан access-list:
access-list 100 permit esp any any
access-list 100 permit udp any any eq 500
все работает ok
стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей он не пускает, так как помимо esp они тоже там засвечиваются
естественно трафик идет с 2621 ТОЛЬКО шифрованный
ну а без листов все идет на ура
в чем может быть причина?

Содержание

ACL не пускает расшифрованный трафик,ruff, 18:16 , 08-Сен-05
- ACL не пускает расшифрованный трафик,papa_doc, 18:29 , 08-Сен-05
  - ACL не пускает расшифрованный трафик,ruff, 10:42 , 09-Сен-05
    - ACL не пускает расшифрованный трафик,fantom, 12:03 , 09-Сен-05
      - ACL не пускает расшифрованный трафик,spa, 12:17 , 09-Сен-05
        
        ACL не пускает расшифрованный трафик,fantom, 12:27 , 09-Сен-05

Сообщения в этом обсуждении

"ACL не пускает расшифрованный трафик"
Отправлено ruff , 08-Сен-05 18:16

>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1))
>
>поднят IPSec, туннельный режим
>на входящем интерфейсе у 2621 прописан access-list:
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>
>все работает ok
>стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей
>он не пускает, так как помимо esp они тоже там засвечиваются
>
>естественно трафик идет с 2621 ТОЛЬКО шифрованный
>ну а без листов все идет на ура
>
>в чем может быть причина?

А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце каждого листа есть неявный deny ip any any

"ACL не пускает расшифрованный трафик"
Отправлено papa_doc , 08-Сен-05 18:29

>>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1))
>>
>>поднят IPSec, туннельный режим
>>на входящем интерфейсе у 2621 прописан access-list:
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>
>>все работает ok
>>стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей
>>он не пускает, так как помимо esp они тоже там засвечиваются
>>
>>естественно трафик идет с 2621 ТОЛЬКО шифрованный
>>ну а без листов все идет на ура
>>
>>в чем может быть причина?
>
>
>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>каждого листа есть неявный deny ip any any

этот deny и на 2621 есть, но на инкапсулированный трафик он не реагирует - пропустил esp и все
а на 2611 он и esp пакеты учитывает и уже развернутые
еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО инкапсулированный, конфигурации простые как мычание

"ACL не пускает расшифрованный трафик"
Отправлено ruff , 09-Сен-05 10:42

>>
>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>каждого листа есть неявный deny ip any any
>
>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>реагирует - пропустил esp и все
>а на 2611 он и esp пакеты учитывает и уже развернутые
>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>инкапсулированный, конфигурации простые как мычание

чета я не понял, вы 21й 11ю заменяете с тем же конфигом? или у вас трафик проходит последовательно через 11ю а потом через 21ю? где терминируется тунель?
вообще, чтоб пропустить локальный трафик наружу нада че нить типа
access-list 100 permit esp any any
access-list 100 permit udp any any eq 500
access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
тогда и ипсековый трафик и локальный ходят, а один лиш
access-list 100 permit esp any any
access-list 100 permit udp any any eq 500
блокирует все, кроме ипсека

"ACL не пускает расшифрованный трафик"
Отправлено fantom , 09-Сен-05 12:03

>
>>>
>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>каждого листа есть неявный deny ip any any
>>
>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>реагирует - пропустил esp и все
>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>инкапсулированный, конфигурации простые как мычание
>
>
>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>или у вас трафик проходит последовательно через 11ю а потом через
>21ю? где терминируется тунель?
>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>тогда и ипсековый трафик и локальный ходят, а один лиш
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>блокирует все, кроме ипсека
Где-то читал, что до какой-то версии ИОСа есть баг - траффик из тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера, или что там у вас).
И если в ACL на этом интерфейсе этот трафик запретить - работать небудет, хотя тунель поднимется.
Вроде как даже на сайте cisco об этом что-то есть.

"ACL не пускает расшифрованный трафик"
Отправлено spa , 09-Сен-05 12:17

>>
>>>>
>>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>>каждого листа есть неявный deny ip any any
>>>
>>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>>реагирует - пропустил esp и все
>>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>>инкапсулированный, конфигурации простые как мычание
>>
>>
>>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>>или у вас трафик проходит последовательно через 11ю а потом через
>>21ю? где терминируется тунель?
>>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>>тогда и ипсековый трафик и локальный ходят, а один лиш
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>блокирует все, кроме ипсека
>
>Где-то читал, что до какой-то версии ИОСа есть баг - траффик из
>тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера,
>или что там у вас).
>И если в ACL на этом интерфейсе этот трафик запретить - работать
>небудет, хотя тунель поднимется.
>Вроде как даже на сайте cisco об этом что-то есть.
а как от этого бага отбиться???

"ACL не пускает расшифрованный трафик"
Отправлено fantom , 09-Сен-05 12:27

>>>
>>>>>
>>>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>>>каждого листа есть неявный deny ip any any
>>>>
>>>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>>>реагирует - пропустил esp и все
>>>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>>>инкапсулированный, конфигурации простые как мычание
>>>
>>>
>>>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>>>или у вас трафик проходит последовательно через 11ю а потом через
>>>21ю? где терминируется тунель?
>>>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>>>access-list 100 permit esp any any
>>>access-list 100 permit udp any any eq 500
>>>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>>>тогда и ипсековый трафик и локальный ходят, а один лиш
>>>access-list 100 permit esp any any
>>>access-list 100 permit udp any any eq 500
>>>блокирует все, кроме ипсека
>>
>>Где-то читал, что до какой-то версии ИОСа есть баг - траффик из
>>тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера,
>>или что там у вас).
>>И если в ACL на этом интерфейсе этот трафик запретить - работать
>>небудет, хотя тунель поднимется.
>>Вроде как даже на сайте cisco об этом что-то есть.
>а как от этого бага отбиться???
1. Найти ИОС с сиправленым багом.
2. Прописать в нужном ACL нужные адреса.